如何配置客户端证书并将设备连接到VPN

在本系列的前几篇文章中,我们讨论了在VPS上配置OpenVPN,以便在使用wifi热点访问internet时提供一种方法来保护您的internet连接。上一次midphase主机中文评测网为大家介绍了打开OpenVPN服务器并运行,这次我们将考虑为客户端证书进行配置,这样您就可以将设备连接到您的VPN了。

如何配置客户端证书并将设备连接到VPN
如何配置客户端证书并将设备连接到VPN

如何配置客户端证书并将设备连接到VPN

您需要为您希望连接到VPN的每个设备创建一个密钥和证书。虽然您可以为所有设备使用一个密钥和证书对,但OpenVPN只允许使用它们一次连接一个设备。使用多个密钥和证书对也可以让您在设备丢失或被盗时移除一对,防止它通过您的VPN连接而不会影响其他设备。

由于每个客户端设备都需要自己的密钥和证书,所以您需要给每个客户一个唯一的名称,一种方法是在设备本身之后给它们命名,这样就可以很容易地将它们连接起来,可以使用“笔记本”、“iphone”、“tablet1”等。在本例中,我们将为“笔记本电脑”创建一个证书,您也可以您在这些指令中看到希望使用的下一个密钥和证书对的名称来更改“笔记本电脑”这个词。

当使用这些命令创建客户端密钥和证书对时,您需要在/etc/openvpn/easy rsa目录中。假设您已经在该目录中,我们将从构建新密钥开始:

sudo ./build-key laptop

就像在运行服务器密钥的命令时,您会收到几个问题的提示。您可以按下回车键,然后用“y”来回答最后两个关于签名的问题。

然后,您将在keys目录中创建三个文件:在我的示例中,它们是笔记本电脑.crt,笔记本电脑.csr和笔记本电脑.key, 文件名要与提供给构建键命令的名称相匹配。

现在,我们需要为客户机提供配置,我们可以从示例配置文件中获得这个配置文件:

sudo cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/easy-rsa/keys/myvpn.ovpn

注意,这个文件将被用于所有的客户端设备,因此不需要指定它来匹配密钥和证书对。在您与客户端设备连接时,您将看到OpenVPN使用您在这里选择的文件名来识别连接。接下来,我们需要调整客户端设备的设置:

sudo nano /etc/openvpn/easy-rsa/keys/myvpn.ovpn

我们想要编辑的第一行是这样的:

删除my-server-1 1194

在这种情况下,您需要使用服务器的公共IP地址来替换my-server-1。

接下来要做的是在文件中进一步修改,用一行表示“初始化后的降级特权”。这类似于服务器配置,您需要在用户和组行开始时删除分号,以使客户端连接成为一个没有特权的用户。完成之后,您可以保存并退出该文件。

现在配置已经就绪,您需要将其下载到将要连接的设备上。我建议您使用支持SFTP协议的FTP客户端来连接。显然,您使用的工具以及如何连接到您的服务器将依赖于您配置VPN连接的设备。您将使用SFTP连接,以及通过SSH配置服务器的用户名和密码。连接之后,您需要将4个文件复制到客户机设备。首先是证书,以及您为它创建的密钥文件。接下来是ovpn配置文件。最后,服务器的ca.crt文件需要被复制。在我们的笔记本电脑的例子中,我们会下载:

/etc/openvpn/easy-rsa/keys/laptop.crt

/etc/openvpn/easy-rsa/keys/laptop.key

/etc/openvpn/easy-rsa/keys/myvpn.ovpn

/etc/openvpn/ca.crt

在这个阶段,如果将文件复制到设备上,您需要参考客户端设备的OpenVPN客户端文档,以了解如何导入文件并在设备上配置VPN,因为这超出了本教程的范围。

对于任何后续的设备,您只需要重复创建新设备的密钥和证书对的过程。您可以重用这些以前的ovpn文件,然后将4个文件复制到新设备中来配置OpenVPN。

现在,我们已经在服务器上配置了OpenVPN服务器,并配置了客户端设备。我们还有最后一件事要做,那就是配置服务器的防火墙来允许VPN连接,并允许连接的用户在因特网上转发流量。

推荐阅读:如何在VPS上建立OpenVPN 如何在VPS上建立OpenVPN:第2部分

本文内容是由midphase主机中文评测网提供,如需转载,请注明出处:http://midphase.cn/